Auditoria y seguridad en software -3266 - Informe ISOS Sánchez Saavedra, Giancarlo – 138646 – 27-03-2018

AUDITORIA Y SEGURIDAD EN SOFTWARE

RESUMEN DE ALGUNAS ISO:

ISO 12207
Esta norma ISO se encarga de ver el ciclo de vida del software, consta de procesos para la
adquisición y suministros de proyectos y servicios del software, estableciendo pautas para el
control y mantenimiento. El objetico de esta ISO es proporcionar una estructuracomún para los
miembros involucrados en el desarrollo del software utilicen un lenguaje en común.
PROCESOS:
PROCESO PRIMARIO:
Conduce la mejora de funciones dentro del ciclo de vida; está compuesto por cinco procesos:
1. Adquisición:
Se encarga de la organización que adquiere un producto, servicio o software.
2. Suministro:
Se encarga de proveer el producto, servicio o sistema software. es un complemento del proceso
de adquisición.
3. Procesos de desarrollo:
Define y organiza el software.
Tiene distintas actividades como:
 Implementación
 Análisis de requerimiento
 Diseño de la arquitectura
 Codificación
 Pruebas
 Integración del software
 Pruebas de calidad
 Instalación
 Aceptación
4. Operación
Opera el sistema de cómputo en el ambiente de los usuarios.
5. Mantenimiento
Provee el servicio de mantener el software, conservándolo incluye la migración y retiro del
software.
PROCESOS DE SOPORTE:
Auditoria y seguridad en software -3266 - Informe ISOS Sánchez Saavedra, Giancarlo – 138646 – 27-03-2018

Esta actividad da el soporte y coordinan el desarrollo y el ciclo de vida de las actividades primarias,
apoya otros procesos que van a cabo una función especializada.
Está compuesta por ocho procesos:
1. Proceso de Documentación:
Define las actividades necesarias para registrar la información producida por los procesos del ciclo
de vida.
2. Administración de la configuración:
Incorpora actividades de identificación, control, estadística y evaluación de las configuraciones.
3. Proceso de aseguramiento de la calidad:
Aseguran que los objetivos se cumplan y que el producto satisfaga los requerimientosespeciados y
se adhieren a los planes establecidos.
4. Verificación:
Verifican los productos y servicios del software.
5. Validación:
Valida los productos del software del proyecto de software.
6. Revisiones conjuntas:
Consta en evaluar el estado de lo producido y las actividades realizadas.
7. Auditorias:
Determina el cumplimiento de los requerimientos, planes y contratos.
8. Resolución del problema:
Analiza y eliminar todos los problemas, sin importar su naturaleza u origen.
PROCESOS ORGANIZACIONALES
Administración y apoyo en general para todo el ambiente de desarrollo. Está comprometido en
seguir cuatro procesos:
1. Administración
Se encarga de administrar todos los demás procesos del proyecto, incluyendo administración del
producto y administración del proyecto.
2. Infraestructura
Establece y mantiene el Hardware, software, herramientas, técnicas y estándares que se requieren
para la ejecución de los otros procesos.
3. Mejoras
Se realiza para establecer, medir, controlar y mejorar los procesos de su ciclo de vida.
Auditoria y seguridad en software -3266 - Informe ISOS Sánchez Saavedra, Giancarlo – 138646 – 27-03-2018

4. Entrenamiento
Proveer personal entrenado adecuado.
CONEXIÓN CON OTRAS NORMAS:
Se relaciona con normas de calidad, especialmente la “ISO 9001: Sistemas de calidad – modelos
para la garantía de calidad en la concepción, desarrollo, producción, instalación y prestación de
servicios”.
Tiene una gran relación con la segunda parte de la norma “ISO/IEC 15504: Tecnologías de la
información – Evaluación de los procesos de software”.
VENTAJAS

 Consta de procesos para adquirir y suministrar productos y servicios software.

 Obtener un marco que facilita la determinación de tiempos y costos de los nuevos
proyectos.
 Permite un mayor control del producto final.
DESVENTAJAS
 Esta norma no está dirigida a productos software pre elaborados.
 No especifica los detalles de cómo implementar o llevar a cabo las actividades y tareas
incluidas en los procesos.
 No prescribe un método o un modelo de ciclo de vida concreto para el desarrollo de
software.

ISO/IEC 15504
Determina la capacidad de mejora del Proceso de Software o SPICE nos propone un modelo para
la evaluación de la capacidad en los procesos de desarrollo de productos software.
La norma ISO 15504 se caracteriza por:
Ser aplicable a cualquier organización o empresa.
Ser independiente de la organización, el modelo del ciclo de vida, la metodología y la tecnología.
Ser un marco para métodos de evaluación, no un método o un modelo en sí.
Cubrir diferentes objetivos para la evaluación de procesos:
 Determinación de la capacidad
 Mejora de procesos
 Evaluar el cumplimiento de determina dos requisitos del ciclo de vida de desarrollo de
software
Ventajas de implantar ISO 15504

 Factor diferenciador, con su implantación se obtiene una importante ventaja respecto a la

competencia.
 Norma ISO, internacional y abierta.
Auditoria y seguridad en software -3266 - Informe ISOS Sánchez Saavedra, Giancarlo – 138646 – 27-03-2018

 Facilita el desarrollo de una cultura corporativa dentro de la organización y aumenta la

satisfacción del cliente.
 El coste de su certificación es menor que el de otros modelos similares.
Dimensiones
Tiene una arquitectura basada en dos dimensiones: de proceso y de capacidad de proceso. Define
que todo modelo de evaluación de procesos debe definir: la dimensión de procesos: el modelo de
procesos de referencia (dimensión de las abscisas) , la dimensión de la capacidad: niveles de
capacidad y atributos de los procesos. Los niveles de capacidad para todo modelo de evaluación
de procesos pueden tener desde el 0 y al menos hasta el nivel 1 de los siguientes niveles de
capacidad estándar:
Nivel 0: Incompleto
Nivel 1: Realizado
Nivel 2: Gestionado
Nivel 3: Establecido
Nivel 4: Predecible
Nivel 5: En optimización

Para cada nivel existen unos atributos de procesos estándar que ayudan a evaluar los niveles de
capacidad.
Dimensión procesos
Procesos Primarios:
 ACQ: Procesos de Cliente
 SPL: Procesos de Proveedor
 ENG: Ingeniería
 OPE: Procesos de operación
Procesos de soporte
 SUP: Soporte
Procesos de organización
 MAN: Procesos de Gestión
 REU: Procesos de Recursos humanos
 RIN: Procesos de Infraestructura
 PIM: Procesos de mejora de procesos
Auditoria y seguridad en software -3266 - Informe ISOS Sánchez Saavedra, Giancarlo – 138646 – 27-03-2018

ISO 27001
Es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los
datos y de la información, así como de los sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a
las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para
mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la
competitividad y la imagen de una organización.
La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles
establecidos en la norma ISO 27002.
Estructura de la norma ISO 27001
Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre el uso,
finalidad y modo de aplicación de este estándar.
Referencias Normativas: Recomienda la consulta de ciertos documentos indispensables para la
aplicación de ISO27001.
Términos y Definiciones: Describe la terminología aplicable a este estándar.

Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge indicaciones

sobre el conocimiento de la organización y su contexto, la comprensión de las necesidades y
expectativas de las partes interesadas y la determinación del alcance del SGSI.
Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la organización han
de contribuir al establecimiento de la norma. Para ello la alta dirección ha de demostrar su
liderazgo y compromiso, ha de elaborar una política de seguridad que conozca toda la
organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.
Planificación: Esta es una sección que pone de manifiesto la importancia de la determinación de
riesgos y oportunidades a la hora de planificar un Sistema de Gestión de Seguridad de la
Información, así como de establecer objetivos de Seguridad de la Información y el modo de
lograrlos.
Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la
organización debe contar con los recursos, competencias, conciencia, comunicación e información
documentada pertinente en cada caso.
Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma
indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una
valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos.
Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a cabo el
seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección
del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona según lo
planificado.
Auditoria y seguridad en software -3266 - Informe ISOS Sánchez Saavedra, Giancarlo – 138646 – 27-03-2018

Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una
organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la
conveniencia, adecuación y eficacia del SGSI.
Entre las actividades propias a desarrollar al abordar una implantación a ISO27001 se encuentran:
 Definición del alcance del SGSI
 Definición de una Política de Seguridad
 Definición de una metodología y criterios para el Análisis y Gestión del Riesgo
 Identificación de riesgos
 Evaluación de los posibles tratamientos del riesgo
 Elaboración de un Declaración de Aplicabilidad de controles y requisitos
 Desarrollo de un Plan de Tratamiento de Riesgos
 Definición de métricas e indicadores de la eficiencia de los controles
 Desarrollo de programas de formación y concienciación en seguridad de la información
 Gestión de recursos y operaciones
 Gestión de incidencias
 Elaboración de procedimientos y documentación asociada

ISO 27002
es un estándar para la seguridad de la información que ha publicado la organización internacional
de normalización y la comisión electrotécnica internacional.La norma ISO 27002 proporciona
diferentes recomendaciones de las mejores prácticas en la gestión de la seguridad de la
información a todos los interesados y responsables para iniciar, implementar o mantener sistemas
de gestión de la seguridad de la información. La seguridad de la información se define en el
estándar como “la preservación de la confidencialidad, integridad y disponibilidad.
La estructura típica de los documentos de políticas puede ser:
Resumen: se establece una visión general de una extensión breve, uno o dos frases y que pueden
aparecer fusionadas con la introducción.
Introducción: se establece una pequeña explicación del asunto principal de la política.
Ámbito de aplicación: es la descripción de los departamentos, áreas o actividades de una empresa
a las que afecta la política. Cuando es relevante en este apartado se mencionan otras políticas
relevantes a las que se pretende ofrecer cobertura desde ésta.

Objetivos: es la descripción de la intención de la política.

Principios: se describen las reglas que conciernen a las acciones o decisiones para conseguir los
objetivos. En algunos casos puede ser de utilidad identificar de forma previa los procesos calve
que están asociados a un asunto principal de la política para después identificar las reglas de
operación de los procesos.
Auditoria y seguridad en software -3266 - Informe ISOS Sánchez Saavedra, Giancarlo – 138646 – 27-03-2018

Responsabilidades: descripción de quién es el responsable de qué acciones pueda cumplir con los
requisitos de la política. En algunos casos, esto puede incluir una descripción de los mecanismos
organizativos, además de las responsabilidades de las personas que tienen sus roles asignados.
Resultados clave: describe todos los resultados relevantes para las actividades de la empresa que
se obtienen cuando se cumplen los objetivos.
Políticas relacionadas: se describen las políticas relevantes para cumplir con los objetivos, se
indican detalles adicionales en relación con los temas específicos.
Actividades de control del riesgo
La política para la seguridad de la información: se tiene que definir un conjunto de políticas para la
seguridad de la información, esto se aprobó por la dirección de la organización, se publica y
comunica a todos los empleados así como a todas las partes externas relevantes.
Revisión de las políticas para la seguridad de la información: las políticas para la seguridad de la
información se debe planificar y revisar con regularidad o si ocurren cambios significativos para
garantizar su idoneidad, adecuación y efectividad.
Dominios de la ISO 27002

Estos dominios que estructura la ISO 27002 son:

 La política de seguridad.
 Los aspectos organizativos de la seguridad de la información.
 La gestión de activos.
 La seguridad ligada a los recursos humanos.
 La seguridad física y ambiental.
 La gestión de las comunicaciones y de las operaciones.
 Los controles de acceso a la información.
 La adquisición, desarrollo y mantenimiento de los sistemas de información.
 La gestión de incidentes en la seguridad de la información.
 La gestión de la continuidad del negocio.
 Los aspectos de cumplimiento legal y normativo.